DORA: Od regulacji do dokumentacji
- Katarzyna Celińska
- 14 paź
- 1 minut(y) czytania
Ustawa o odporności operacyjnej w środowisku cyfrowym zmienia podejście instytucji finansowych w całej UE do ryzyka związanego z technologiami informacyjno-komunikacyjnymi, odporności i zarządzania. Chociaż sama regulacja jest ambitna, jedno z najbardziej praktycznych wyzwań jest oczywiste: lista wymaganych dokumentów, polityk i procedur, które organizacje muszą stworzyć i utrzymywać.
Foto: https://pl.freepik.com/
Co jest wymagane zgodnie z DORA?
Przegląd BaFin jasno pokazuje, że zgodność z przepisami wiąże się z dużą ilością dokumentacji. Podmioty muszą tworzyć, utrzymywać i regularnie aktualizować:
Strategie: Strategia cyfrowej odporności operacyjnej (art. 6 DORA), ramy zarządzania ryzykiem ICT, strategia ciągłości działania ICT.
Polityki:
☑️ Polityki bezpieczeństwa informacji i zarządzania ryzykiem ICT.
☑️ Polityki tworzenia kopii zapasowych, instalowania poprawek i zarządzania podatnością na zagrożenia.
☑️ Polityki zarządzania zmianami ICT, zarządzania incydentami i szyfrowania.
☑️ Polityki dotyczące podmiotów zewnętrznych i outsourcingu ICT.
Procedury:
☑️ Klasyfikacja incydentów, raportowanie i plany komunikacji kryzysowej.
☑️ Zarządzanie tożsamością i dostępem, zarządzanie wydajnością i monitorowanie systemu.
☑️ Metodologie testowania i walidacji ciągłości i odporności ICT.
Rejestry i wykazy:
☑️ Zasoby ICT, procesy krytyczne i dostawcy zewnętrzni
☑️ Certyfikaty, incydenty i wyniki audytów
Ogólnie rzecz biorąc, organizacje muszą wykazać się kompleksowym zarządzaniem, łącząc polityki i procedury bezpośrednio z zarządzaniem ryzykiem ICT, reagowaniem na incydenty, testowaniem odporności i nadzorem nad podmiotami zewnętrznymi.
Jest to kolejna świetna publikacja dla organizacji objętych przepisami DORA. Ustrukturyzowana lista wymagań jest nieoceniona — pokazuje dokładnie, co należy wdrożyć. Od strategii po polityki, od zarządzania zmianami ICT po rejestry stron trzecich — organizacje mają teraz jasny obraz tego, co należy dokumentować, wdrażać i utrzymywać.
Autor: Sebastian Burgemejster
Komentarze